CN113452699A

CN113452699A - 基于配置文件的跳板攻击路径分析方法

Info

Publication number: CN113452699A
Application number: CN202110715813.9A
Authority: CN
Inventors: 孙聪; 王禾; 熊帅; 李亚晖; 王中华; 马建峰; 刘乔森
Original assignee: Xidian University; Xian Aeronautics Computing Technique Research Institute of AVIC
Current assignee: Xidian University; Xian Aeronautics Computing Technique Research Institute of AVIC
Priority date: 2021-06-24
Filing date: 2021-06-24
Publication date: 2021-09-28
Anticipated expiration: 2041-06-24
Also published as: CN113452699B

Abstract

本发明公开了一种基于配置文件的跳板攻击路径分析方法，主要解决现有技术中攻击成功率较低、最短路径可行性差的问题。方案包括：1)构建漏洞图；2)根据漏洞图为每个被攻击节点与其相邻节点之间的边缘定义用于评价漏洞复杂性和评估配置文件的评分，生成被攻击节点之间的边缘评分矩阵；3)建立初始状态矩阵，并结合边缘评分对其进行迭代更新，直到所有节点状态趋于稳定；4)将更新后矩阵中目标节点对应的状态值确定为最短路径值，得到攻击节点到达目标节点的最佳攻击路径。本发明针对风险规避型攻击者多元化的攻击路径选择标准，进行跳板攻击路径的分析，既可指导防御方采取针对性修复和防御措施，也可为攻击者制定攻击计划提供可靠依据。

Description

基于配置文件的跳板攻击路径分析方法

技术领域

本发明属于网络安全技术领域，进一步涉及攻击路径分析技术，具体为一种基于配置文件的跳板攻击路径分析方法。可用于对网络的安全性进行评估，指导防御方对网络采取针对性修复和防御措施。

背景技术

随着智能设备大规模普及，全球范围内物联网安全事件频发，给用户个人资产安全与行业发展带来极大挑战。一方面，攻击者的攻击目标不再局限于直接攻破某一特定设备，而是先攻破若干中间系统，使之成为“跳板”，然后借助跳板系统完成攻击行为，即利用跳板攻击进行漏洞利用；该方式除了可以隐藏攻击者的真实身份，考虑到物联网的特殊性，攻击者还可以将智能设备作为网关和跳板，深入专用网络进行破坏。另一方面，在现实场景中，攻击者对跳板攻击路径的选择标准也越来越多元，不同的攻击目标将会衍生出不同的攻击意图，从而产生不同的最短攻击路径选择。防御者日益提高的攻击防御措施和仅考虑利益最大化的路径选择约束之间存在矛盾，使得对于检测系统脆弱性信息进行模拟攻击的可行性变差、最短路径分析的可靠性降低。

胡昌振在其申请的专利文献“一种基于增强学习的动态保护路径规划方法”(专利申请号201710048160.7，申请公布号CN106657144A)中公开了一种基于增强学习的动态保护路径规划方法。该方法通过系统信息和网络拓扑结构生成分布式网络攻击图和网络模型，通过分析攻击图来寻找攻击路径成功率最低的路径，即最差攻击路径，并得到特权节点集合；根据生成的网络模型，结合最差攻击路径对应的攻击路径成功率和特权节点集合，借助增强学习来获取最佳保护路径。该方法的不足之处是仅从漏洞库信息这一理论层面考虑威胁和脆弱性的相互关系，未考虑威胁在同一类别下的不同设备间的差异性，也未考虑设备配置对攻击成功率的影响，这就导致该方法过于脱离实际，当使用不同配置的设备来进行该方法中所描述的实验时会得到具有较大出入的实验结果。

Marco等人在其发表的论文“A Multi-Agent Systems Approach for Analysisof Stepping Stone Attacks”(Doctor of Philosophy,Old Dominion University，2019)中公开了一种对多智能体系统中带约束的最短跳板攻击路径的分析方法。该方法通过比较攻击前后目标设备的完整性变化，借助漏洞评分中的影响力评分来对边缘成本进行评估，来分析所带约束为影响力最大时的最短跳板攻击路径。此方法的不足之处是过分贪心约束使得推导出的最短路径可行性差，即随着目标防御手段的不断提升，跳板攻击成功实施的难度不断提高，该分析方法则无法应对这种变化，因此不能满足风险规避型攻击者实现网络攻击的路径规划需求。

发明内容

本发明目的在于针对上述已有技术中存在的不足，提出一种基于配置文件的跳板攻击路径分析方法，在评估漏洞复杂性的基础上加入对配置文件的分析，以此来度量攻击防御措施，从而提升跳板路径分析的准确性。避免了由于未考虑同一类别下不同设备间差异导致的攻击效果不同情况以及未考虑设备配置对攻击成功率带来的影响，同时解决了过分贪心约束使得推导出的最短路径可行性差的问题。该方法针对风险规避型攻击者多元化的攻击路径选择标准，进行跳板攻击路径的分析，既可指导防御方采取针对性修复和防御措施，也可为攻击者制定攻击计划提供可靠依据。

实现本发明目的的具体思路是：首先，将待分析的局域网中攻击者使用的主机视为攻击节点、被攻击的核心主机视为目标节点、到达核心主机途径的被攻击的每台主机视为一个跳板节点；然后，为每个节点与其相邻节点间的边缘定义两个评分，分别用于评价漏洞复杂性和对配置文件的评估，最终确定到达目标节点的攻击路径。该分析结果既可指导防御方采取针对性修复和防御措施，也可为攻击者制定攻击计划提供依据。

为实现上述目的，本发明的具体步骤如下：

(1)建立漏洞图：

(1a)将待分析的局域网中攻击者使用的主机视为攻击节点，被攻击节点攻击的主机视为被攻击节点，该被攻击节点包括目标节点和跳板节点；将攻击者选定的待攻击主机视为目标节点，从攻击节点到达目标节点所途径的每台主机视为一个跳板节点；

(1b)获取每个被攻击节点的地址信息、系统信息；

(1c)使用搜索引擎获取与每个被攻击节点系统信息相关的漏洞信息，该漏洞信息包括漏洞编号及攻击实施方法；

(1d)根据网络拓扑结构，将被攻击节点与其各自相匹配的攻击实施方法一一组合，得到漏洞图的节点集；

(1e)根据网络拓扑结构，在相邻的被攻击节点间建立有向连接，得到表示攻击顺序的有向边集；

(1f)得到由节点集和有向边集构建的漏洞图；

(2)根据漏洞图生成被攻击节点之间的边缘评分矩阵：

根据漏洞图得到被攻击节点之间的相邻关系，以及相邻节点间是否存在有向边；设网络拓扑中被攻击节点数目为M，建立M行M列的边缘评分矩阵，该矩阵中的元素为边缘评分w_ij，用于表示当前被攻击节点i与其相邻被攻击节点j之间的连接关系；

当i与j之间不存在有向边时，w_ij＝0；

当i与j之间存在有向边时，定义两个评分θ_ij和β_j，其中θ_ij表示节点j上的漏洞复杂性评分、β_j表示攻击者从当前被攻击节点i攻击节点j时的配置文件评分：

θ_ij＝10-ε_j/Av_j

β_j＝β_j1+β_j2+β_j3，

其中，Av_j表示通用漏洞评分中的攻击向量评分，ε_j表示通用漏洞评分中的可利用度评分，β_j1表示对节点j的密码强度进行量化评分，β_j2表示对节点j的入侵检测面进行量化评分，β_j3表示对节点j的入侵检测工具版本进行量化评分；

按照下式计算当i与j之间存在有向边时，当前被攻击节点i与其相邻被攻击节点j之间的边缘评分w_ij：

w_ij＝θ_ij+(10-β_j)；

(3)建立初始状态矩阵：

建立M行1列的被攻击节点初始状态矩阵，该矩阵中每一个元素对应网络中的一个被攻击节点，且各被攻击节点状态值均为0；

(4)从被攻击节点初始状态矩阵中随机选取一个未选用过的被攻击节点；判断选取的被攻击节点是否存在相邻节点，若是，则执行步骤(5)，否则，执行步骤(6)；

(5)分别将每个相邻节点当前的状态值与其边缘评分相加，并取其中最小值用于更新被攻击节点状态值，得到更新后被攻击节点状态矩阵；

(6)判断被攻击节点状态矩阵中的节点是否选择完毕，若是，则执行步骤(7)，否则，返回步骤(4)；

(7)判断更新后被攻击节点状态矩阵与被攻击节点初始状态矩阵的值是否相同，若是，表明所有节点状态趋于稳定，则执行步骤(8)；否则，将初始状态矩阵中的所有被攻击节点设置为未选用，同时将本轮迭代获取到的被攻击节点状态值替代为对应被攻击节点的初始状态值，然后返回步骤(4)；

(8)将目标节点对应的状态值确定为最短路径值，得到攻击节点到达目标节点的最佳攻击路径。

本发明与现有的技术相比具有以下优点：

第一，由于本发明在对攻击路径进行分析时，基于被攻击主机的配置文件进行量化评估，从而优化了边缘评分计算方法，有效解决了现有研究中使用单约束进行跳板选择的局限性，以及由于过分贪心约束导致推导出的最短路径可行性差的问题；

第二，由于本发明从配置文件的角度出发对攻击路径进行考量，可以区分出不同设备间的差异，克服了现有技术未考虑威胁在同一类别下不同设备间存在的差异性，从而导致攻击效果不同的缺点，使得本发明可以真实地反映设备配置对攻击成功率的影响，更适用于实际的攻击场景，提高了攻击路径分析结果的准确性。

附图说明

图1是本发明的实现流程图；

图2是本发明的仿真实验使用的网络拓扑图；

图3是本发明的仿真实验生成的攻击路径分析结果图。

具体实施方式

下面结合附图对本发明做进一步的描述。

参照附图1，对本发明的具体步骤做进一步的描述。

步骤1，建立漏洞图：

(1b)获取每个被攻击节点的地址信息、系统信息，本实施例在此采用探测工具获取，例如网络探测和安全扫描程序Nmap探测工具，当然，也可以通过IP端口扫描工具Ipscan、用于攻击web应用程序的集成平台Burpsuite等进行系统扫描获取。地址信息通常是在编写程序实现功能时必不可少的信息，这里我们获取该信息是要明确每个被攻击节点的IP地址。

(1c)使用搜索引擎获取与每个被攻击节点系统信息相关的漏洞信息，该漏洞信息包括漏洞编号及攻击实施方法；本实施例在这里获取与每个被攻击节点系统信息相关的漏洞信息具体是从国家信息安全漏洞共享平台中获取，当然，通用漏洞披露平台CVE、美国国家工控系统行业漏洞库中进行查询等方式也是可以得到漏洞信息的。

(1d)根据网络拓扑结构，将被攻击节点与其各自相匹配的攻击实施方法一一组合，得到漏洞图的节点集；所述网络拓扑结构是由节点、链路和通路组成的，用于体现系统中设备分布情况及连接状态的已知结构，在已知网络的情况下便已经明确网络的具体拓扑信息。

(1f)得到由节点集和有向边集构建的漏洞图；

漏洞图为有向加权图，其方向是有向边集体现出的由一个被攻击节点指向另一个被攻击节点的方向，其上的权是攻击对应的漏洞所要付出的代价，用于展示当前系统中的可行攻击路径。

步骤2，根据漏洞图生成被攻击节点之间的边缘评分矩阵：

当i与j之间不存在有向边时，w_ij＝0；

θ_ij＝10-ε_j/Av_j

β_j＝β_j1+β_j2+β_j3，

w_ij＝θ_ij+(10-β_j)；

步骤3，建立初始状态矩阵：

步骤4，从被攻击节点初始状态矩阵中随机选取一个未选用过的被攻击节点；判断选取的被攻击节点是否存在相邻节点，若是，则执行步骤(5)，否则，执行步骤 (6)；

步骤5，分别将每个相邻节点当前的状态值与其边缘评分相加，并取其中最小值用于更新被攻击节点状态值，得到更新后被攻击节点状态矩阵；

步骤6，判断被攻击节点状态矩阵中的节点是否选择完毕，若是，则执行步骤(7)，否则，返回步骤(4)；

步骤7，判断更新后被攻击节点状态矩阵与被攻击节点初始状态矩阵的值是否相同，若是，表明所有节点状态趋于稳定，则执行步骤(8)；否则，将初始状态矩阵中的所有被攻击节点设置为未选用，同时将本轮迭代获取到的被攻击节点状态值替代为对应被攻击节点的初始状态值，然后返回步骤(4)；

步骤8，将目标节点对应的状态值确定为最短路径值，得到攻击节点到达目标节点的最佳攻击路径。

下面结合本发明的仿真实验对本发明的效果做进一步的说明。

1.仿真条件：

本发明的仿真实验的硬件平台为：被攻击主机的处理器为FT2000A/HK，主频1GHz，内存500MB；实施攻击主机的处理器为Intel CoreTMi7-6700，主频为3.40GHz，内存8GB。

本发明的仿真实验的软件平台为：被攻击主机的软件平台：VxWorks5.5或VxWorks6.9；实施攻击主机的软件平台：Windows10，Python3.6，Nmap7.6， SecureCRT5.0，Metasploit4.17；

本发明的仿真实验所使用的漏洞信息和攻击实施方法均来自国家信息安全漏洞共享平台，所选漏洞信息更新时间截止2021年3月。

2.仿真内容与结果分析：

本发明仿真实验是采用本发明中的方法，针对图2所示的仿真实验的网络拓扑图，将待分析的局域网中攻击者使用的主机视为攻击节点，被攻击的核心主机视为目标节点，到达核心主机所途径的被攻击的每台主机视为一个跳板节点，为每个边缘定义两个评分，用于评价漏洞复杂性和对配置文件进行评估，从而确定到达目标节点的攻击路径。

图2为本发明仿真实验中的网络拓扑图，该局域网中有1台攻击方使用的操作系统为Windows10的计算机，作为局域网的攻击节点，即节点6；5台被攻击的操作系统为VxWorks的计算机，其中节点1为目标节点，节点2-5为跳板节点。

借助探测工具Nmap获取5个被攻击节点的地址信息、系统信息，如表1所示。

表1目标节点信息一览表

序号	设备	操作系统	地址信息
				1	Host_1	VxWorks6	192.168.253.123
2	Host_2	VxWorks5	192.168.253.200
				3	Host_3	VxWorks6	192.168.253.201
4	Host_4	VxWorks6	192.168.253.202
				5	Host_5	VxWorks5	192.168.253.124

根据被攻击节点信息和国家信息安全漏洞共享平台提供的漏洞信息进行分析，可以得到如表2所示的各节点的漏洞列表及漏洞评分。

表2漏洞列表及漏洞评分

结合表1中的目标节点信息和表2中的漏洞信息，根据图1所示流程对目标网络中的攻击路径进行分析，得到如图3所示的分析结果。针对总代价最小的攻击路径中每个目标节点存在的脆弱性，用户应当优先采取相应的防护措施来对每个目标节点进行防护。说明本发明能够确定局域网中所有目标节点的最优攻击顺序，可以对网络进行安全评估。

上述仿真分析证明了本发明所提方法的正确性与有效性。

跳板攻击提供了匿名性服务，即隐藏了攻击者的身份，增加了防御者的追踪难度，并且跳板攻击可以感染同一局域网中的多台设备，可以造成如分布式拒绝服务攻击这样的重大危害。本发明提出的基于配置文件的跳板攻击路径分析方法，在评估漏洞复杂性的基础上加入对配置文件的分析，以此来度量攻击防御措施，从而提升跳板路径分析的准确性。通过在待分析的局域网中确定攻击节点和被攻击节点，并为每个被攻击节点与其相邻节点之间的边缘定义用于评价漏洞复杂性和评估配置文件的评分，生成边被攻击节点之间的缘评分矩阵；然后建立初始状态矩阵，并结合边缘评分对其进行迭代更新，直到所有节点状态趋于稳定；最后将更新后矩阵中目标节点对应的状态值确定为最短路径值，得到攻击节点到达目标节点的最佳攻击路径。根据本发明得到的跳板攻击路径分析结果，能够指导防御方采取针对性的有效修复和防御措施，也可为攻击者制定攻击计划提供可靠依据。

本发明未详细说明部分属于本领域技术人员公知常识。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，显然对于本领域的专业人员来说，在了解了本发明内容和原理后，都可能在不背离本发明原理、结构的情况下，进行形式和细节上的各种修正和改变，但是这些基于本发明思想的修正和改变仍在本发明的权利要求保护范围之内。

Claims

1.一种基于配置文件的跳板攻击路径分析方法，其特征在于，在待分析的局域网中确定攻击节点和被攻击节点，并为每个被攻击节点与其相邻节点之间的边缘定义两个评分，分别用于评价漏洞复杂性和评估配置文件，得到最佳攻击路径；具体包括如下步骤：

(1)建立漏洞图：

(1b)获取每个被攻击节点的地址信息、系统信息；

(1f)得到由节点集和有向边集构建的漏洞图；

(2)根据漏洞图生成被攻击节点之间的边缘评分矩阵：

当i与j之间不存在有向边时，w_ij＝0；

θ_ij＝10-ε_j/Av_j

β_j＝β_j1+β_j2+β_j3，

w_ij＝θ_ij+(10-β_j)；

(3)建立初始状态矩阵：

2.根据权利要求1所述方法，其特征在于：步骤(1b)中每个被攻击节点的地址信息、系统信息，通过采用网络探测和安全扫描程序Nmap探测工具、IP端口扫描工具Ipscan、用于攻击web应用程序的集成平台Burpsuite进行系统扫描获取。

3.根据权利要求1或2所述方法，其特征在于：所述地址信息用于明确每个被攻击节点的IP地址。

4.根据权利要求1所述方法，其特征在于：步骤(1c)中使用搜索引擎获取与每个被攻击节点系统信息相关的漏洞信息，具体是使用搜索引擎从国家信息安全漏洞共享平台中获取，或者通用漏洞披露平台CVE、美国国家工控系统行业漏洞库中进行查询得到漏洞信息。

5.根据权利要求1所述方法，其特征在于：步骤(1d)、(1e)中的网络拓扑结构是由节点、链路和通路组成的，用于体现系统中设备分布情况及连接状态的已知结构。

6.根据权利要求1所述方法，其特征在于：步骤(1d)、(1e)中的网络拓扑结构是由节点、链路和通路组成的，用于体现系统中设备分布情况及连接状态的已知结构。

7.根据权利要求1所述方法，其特征在于：步骤(1)中的漏洞图为有向加权图，其方向是有向边集体现出的由一个被攻击节点指向另一个被攻击节点的方向，其上的权是攻击对应的漏洞所要付出的代价，用于展示当前系统中的可行攻击路径。